Manager la continuité aspects business et impératifs informatiques. pdf
1. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
La délégation régionale PACA de L’ISACA AFAI vous propose une conférence sur le thème:
Manager la continuité :
aspects business et impératifs informatiques
Mme Isabelle SALESSE LAVERGNE, DSIO de l’Hôpital Saint-
Joseph, va nous faire part de son expérience et de sa vision
prospective.
Cette conférence sera animée par M. Frédéric VILANOVA,
CISA, fondateur d’Effective Yellow et par M. Jean-Yves OBERLE,
Délégué régional – Isaca Afai
Merci à tous pour votre participation et vos interventions en
séance: le partage d’expérience est notre force !
Mercredi 11 mars 2015 18h30 - ESDAC – Aix-en-Provence
2. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
SOMMAIRE
1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph à
Marseille - Mme Isabelle Salesse Lavergne
2. Continuité Informatique – COBIT, un référentiel proposé par
l’ISACA pour agir et donner du sens – M. Frederic Vilanova
3. Continuité: Aspects Business et Gouvernance – M. Jean-Yves
Oberlé
Echanges, Conclusion
3. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
1.1 Le Système d’Information de l’Hôpital
Saint Joseph et les enjeux associés
1.2 La Continuité de Service :
. Contexte
. Dispositifs en place
. Limites et difficultés
1.3 Perspectives et Facteurs Clés de Succès
1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph
4. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
- 1er établissement privé à but non lucratif
- 3ème établissement de santé en PACA
- 2nd employeur privé de Marseille
- 2.350 salariés (1.862 etp)
- 312 médecins libéraux et 96 médecins salariés
- 805 lits et places MCO
- 30 places HAD
- 56 lits SSR
- 30 services
- 37 salles de bloc
- 40 lits de soins critiques (Réanimation & Soins Intensifs)
- 224.000 journées et séances par an
- 60.000 entrées par an
- 1.065 consultations par jour
- 88 interventions sous anesthésie par jour
(> 32.000 par an)
- 150 passage par jour aux urgences
(> 55.000 par an)
- 12 naissances par jour (> 4.300 par an)
- Budget annuel de 220 M€
1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph
1.1 Les enjeux associés
L’Hôpital St Joseph à Marseille
5. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
- 224 logiciels
- 1.400 comptes de messagerie
- 210 serveurs virtuels
- 79 serveurs physiques
- 38 serveurs CITRIX
- 4 baies SAN de stockage
- 265 TO de données stockées, dont 150 TO d’imagerie
- 1136 PC et panels PC
- 400 clients légers
- 209 postes mobiles (tablettes, ultraportables, portables, pocket PC)
- 589 imprimantes
- 191 scanners
- 800 TV sous IP
- 2 cœurs de réseaux 10 Gb
- 3.200 points réseaux
- 90 points réseau Biomédial
- 96 postes biomédicaux connectés
- 22 VLAN
- 135 bornes WiFi
- 320 accès distants, 6 VPN prestataires
- 33 locaux techniques
- 2 salles machines
1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph
1.1 Les enjeux associés
Le Système d’Information Hospitalier en 2014
6. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
- 2.541 appels hot-line par mois, 90% résolution N1
- 1.458 demandes via la gestion des demandes (Intranet)
- 136 sessions de formation par an (médecins et secrétaires
médicales)
- 0,5 IDE pour former le personnel soignant
- Budget 2014 : 4.678 K€ (2,06% budget de l’hôpital)
- 17 personnes
1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph
1.1 Les enjeux associés
Le Système d’Information Hospitalier en 2014
7. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
1.1 Le Système d’Information de l’Hôpital
Saint Joseph et les enjeux associés
1.2 La Continuité de Service :
. Contexte
. Dispositifs en place
. Limites et difficultés
1.3 Perspectives et Facteurs Clés de Succès
1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph
1.2 La Continuité de Service
8. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
ENJEUX METIERS
- Une informatisation totale de la prise en
charge du patient
et des plateaux techniques
- Une ouverture de plus en plus grande vers
l’extérieur pour la continuité des soins
- Des utilisateurs de plus en plus nombreux et
« disparates »
- Des exigences de plus en plus fortes en
matière de haute disponibilité (Cf. Connexion
des Plateaux Techniques et dispositifs
médicaux, Continuité des soins, Sécurité du
patient)
1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph
1.2 La Continuité de Service
CONTRAINTES OPERATIONNELLES
- Arrêt total de la Production : 5 personnes
pendant 6H
(290 éléments physiques à arrêter)
« PRESSION » DES AUTORITES DE TUTELLE
- La Politique Générale de Sécurité des
Systèmes d’Information de Santé
(PGSSI-S)
- Le Programme Hôpital Numérique
- La Certification des Etablissements de Santé
Contexte
9. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
− Mécanismes de haute disponibilité sur les ressources critiques :
Salles machines
Infrastructure de sauvegarde
Infrastructure de stockage
Virtualisation
Réseau
Applications et bases de données critiques
- Maintien en Conditions Opérationnelles
Désignation d’un RSSI
Organisation 24H/24 – 7J/7
Supervision
Administration
Gestion des changements
Sécurisation physique, électrique et thermique
grâce à la collaboration des services Techniques
- Procédures dégradées
- Sensibilisation / Formation des utilisateurs
- Plan de Reprise d’Activité
Mais, AVANT TOUT,
une très grande disponibilité des équipes
1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph
1.2 La Continuité de Service
Dispositifs mis en place
10. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
UN BILAN GLOBALEMENT POSITIF ….
√ Des risques globalement maîtrisés
√ 99,98 % taux de disponibilité, soit 77H d’indisponibilité en 2013
(< 20 mn / jour)
√ Le dernier sinistre majeur remonte à novembre 2011 :
Perte d’une baie SAN
Arrêt total du SIH de 6H à 14H
Aucune sauvegarde possible pendant plus de 48H
MAIS DES ZONES DE RISQUES MAJEURES
DONT ON NE PEUT SE SATISFAIRE …..
− Manque de ressources :
√ Documentation insuffisante
√ Pas d’exercice de mise en situation
√ Disponibilité des ressources critiques en cas de sinistre majeur
√ Ressources insuffisante pour réaliser les tâches d’administration
et de MCO nécessaires
- Des difficultés à mobiliser Direction et utilisateurs en l’absence de
sinistre majeur
1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph
1.2 La Continuité de Service
Limites et difficultés
11. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
1.1 Le Système d’Information de l’Hôpital
Saint Joseph et les enjeux associés
1.2 La Continuité de Service :
. Contexte
. Dispositifs en place
. Limites et difficultés
1.3 Perspectives et Facteurs Clés de Succès
1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph
1.3 Perspectives & Facteurs Clés de succès
12. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
- Du Plan de Reprise d’Activité au Plan de Continuité d’Activité :
Construction d’un nouveau Data Center hors du 1er
périmètre de l’hôpital
Renforcement des mécanismes de haute disponibilité
− S’appuyer sur les recommandations des Tutelles pour renforcer
la sensibilisation de la Direction Générale
− Renforcer le Maintien en Conditions Opérationnelles
Perspectives
1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph
1.3 Perspectives & Facteurs Clés de succès
13. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
AU NIVEAU DE L’ORGANISATION :
- Considérer la sécurité comme un projet d’entreprise,
dont la Direction Générale porte la vision globale
- Viser des objectifs réalistes, qui répondent aux besoins
de l’organisme ; ne pas viser le risque zéro
- Sensibiliser et faire adhérer les utilisateurs
AU NIVEAU DE LA DSI :
- Ne pas sous estimer le travail de documentation
- Promouvoir le travail d’équipe, la coopération, l’esprit de
service
- Disposer d’une très bonne connaissance des métiers et
des enjeux associés
- Toujours dialoguer avec les utilisateurs pour éviter que
ceux-ci ne contournent la DSI
- Ne pas oublier que l’on n’est jamais plus fort
que le maillon le plus faible
Facteurs Clés de succès
1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph
1.3 Perspectives & Facteurs Clés de succès
14. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph
A présent ou en fin de présentation…
Jean-Yves OBERLE
jyoberle@sarapis.fr
Frederic VILANOVA
frederic.vilanova@effectiveyellow.com
Isabelle SALESSE LAVERGNE
isalesselavergne@hopital-saint-joseph.fr
15. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2.1 Eléments de structure Cobit5
. Principes
. Facilitateurs « Principes, Politiques et Référentiels »
. Facilitateurs « Processus »
. Périmètre Cobit5
. RACI
2.2 LSS04 « Gérer la Continuité »
. Contribution de LSS04 aux objectifs liés aux TI
. LSS04 vue générale
. LSS04-03 exemple de sous-processus
. Progresser dans COBIT par niveaux de maturité
. Implémenter LSS04
2. Continuité Informatique - un référentiel proposé par l’ISACA
pour agir et donner du sens
16. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Informatique - un référentiel pour agir :
2.1 Eléments de structure
Périmètre et notions clés
• Version 1 en 1996 actuellement en V5
USA Canada France (selon le
contexte)
Business Affaires Entreprise, Métier,
Affaire, Activité
Business Case Dossier
d’affaires
Analyse de cas,
Etude d’opportunité
Business Plan Plan d’affaires Contrat d’objectifs,
Cible
Enabler Facilitateur Levier
IT TI SI, Système
d’Information,
Informatique
Management Gestion Management,
Gestion
Lag Indicators,
Achievement of
Goals Metrics
Indicateur de
résultat
Indicateur de
résultat, pour la
réalisation des
objectifs
Lead Indicators,
Application of
Practice Metrics
Indicateurs de
fonctionnement
Indicateurs de
fonctionnement,
pour l’application des
pratiques
• Partager un vocabulaire commun
2. Couvrir l’entreprise de bout en bout
• 5 principes fondamentaux:
1. Répondre aux besoins des parties
prenantes
• Pas seulement les processus
informatiques
• Toutes les fonctions et tous les
processus de l’entreprise
• L’information et les technologies qui
s’y rapportent sont traitées comme
des actifs de l’entreprise
La version 5 a regroupé des référentiels
auparavant épars (Risk IT, VAL IT, BMSI,
Cobit4…) en se conformant aux
référentiels spécifiques majeurs tels que
ISO/IEC 27001, ISF Standard for Good
Practice for Information Security et US
National Institute of Standards and
Technology (NIST) SP800-53A
Cobit5 retient une approche holistique intégrant 7
types de facilitateurs (enablers, leviers):
1. Principes, politiques et référentiels (pour
traduire le comportement désiré en
orientations pratiques)
2. Processus (pratiques et activités pour
produire des résultats et ainsi réaliser des
objectifs globaux)
3. Structures organisationnelles (entités pour
décider et agir)
4. Culture, Ethique et Comportements (des
individus)
5. Information (produite et utilisée pour
permettre à l’organisation de fonctionner)
6. Services, Infrastructures et Applications
(traitements et services technologiques)
7. Personnes, Aptitudes et Compétences
(individus)
Les trois derniers sont des ressources au sens
Cobit5.
Distinguer la Gouvernance IT et le
Management IT (= la Gestion des SI)
En effet le management s’attache à :
- Planifier
- Construire
- Gérer
- Piloter
des activités en fonction….
…des directives établies en par les
organes de gouvernance pour atteindre
les objectifs de l’entreprise (GEIT
Governance of Enterprise IT)
Nous reviendrons en 3ème partie sur le
sujet de gouvernance…
1. Valeur pour les parties prenantes
2. Portefeuille de produits et services concurrentiels
3. Gestion du risque d’affaires (protection des actifs)
4. Conformité aux lois et à la règlementation
5. Transparence financière
6. Culture de service orientée client
7. Continuité et disponibilité des services d’affaires
8. Réponses agiles dans un contexte d’affaires en
évolution
9. Prise de décisions stratégiques basées sur
l’information
10. Optimisation des coûts de livraison des services
11. Optimisation de la fonctionnalité des processus
d’affaires
12. Optimisation des coûts des processus d’affaires
13. Programmes de gestion du changement
14. Productivité opérationnelle et productivité du
personnel
15. Conformité aux politiques internes
16. Personnes qualifiées et motivées
17. Culture d’innovation des produits et des affaires
Apprentissage et Croissance
Interne
Client
Financier
1. Alignement des TI et de la stratégie d’affaires
2. Conformité des TI et soutien à la conformité de l’entreprise aux
lois et à la réglementation
3. Engagement de la haute direction dans la prise de décisions
liées aux TI
4. Gestion du risque d’affaires lié aux TI
5. Bénéfices réalisés sur les investissements en TI et sur le
portefeuille de services
6. Transparence des coûts, des bénéfices et des risques des TI
7. Livraison de services des TI conforme aux exigences
opérationnelles
8. Utilisation adéquate des applications, de l’information et de
solutions technologiques
9. Agilité des TI
10. Sécurité de l’information, des infrastructures de traitement et
des applications
11. Optimisation des actifs, des ressources et des capacités des TI
12. Mise en œuvre et soutien des processus d’affaires par leur
intégration dans les applications et les technologies
13. Livraison de programmes procurant des avantages, en temps
opportun, en respectant budget, exigences et normes de qualité
14. Disponibilité d’informations fiables et utiles pour la prise
de décision
15. Conformité des TI aux politiques internes
16. Personnel des TI et des lignes d’affaires compétent et motivé
17. Connaissances, compétences et initiatives pour l’innovation
d’affaires
Apprentissage et Croissance
Interne
Client
Financier
• Partager un vocabulaire commun
2. Couvrir l’entreprise de bout en bout
• 5 principes fondamentaux:
1. Répondre aux besoins des parties
prenantes
Principes
• Version 1 en 1996 actuellement en V5
4. Faciliter une approche globale
5. Distinguer la gouvernance de la
gestion
3. Appliquer un référentiel unique et
intégré
17. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
- COBIT5 propose une démarche pour mettre en place un référentiel adapté à votre
situation d’entreprise, par une approche top-down: Principes: supporter les activités de
l’entreprise, les défendre, promouvoir des comportements responsable ; Politiques
générales ; Politiques spécifiques ; Procédures ; Eléments requis et documentation
2. Continuité Informatique - un référentiel pour agir :
2.1 Eléments de structure
Points clés - Facilitateur « Principes, Politiques et Référentiels »
- Les politiques générales peuvent s’étayer et contribuer aux travaux s’inscrivant dans
des cadres plus larges ou différents tels que
- le référentiel international de contrôle interne COSO 2013
- le programme de Santé Publique Hôpital Numérique en France
- Les politiques spécifiques sont utiles par exemple pour être en conformité
- avec la loi Sarbanes-Oxley aux Etats-Unis (SOX 409 clôturer les comptes en deux
jours; SOX 404 démontrer l’efficacité des contrôles internes)
- avec la norme ISO/IEC 27001 en Management de la Sécurité de l’Information
- avec la norme PCI DSS pour la gestion des paiements par carte bancaire
- avec la règlementation en Banques et Assurances: BASEL2 et BASEL3
(exhaustivité, intégrité); Règlement CRBF 97-02 contrôle interne (article 14,
sécurité, continuité, intégrité, confidentialité; articles 37-1 et suivants Maîtrise des
prestations essentielles externalisées)
- Les principes de Cobit5 sont compatibles à ceux proposés par la norme ISO/IEC
38500:2008 Gouvernance des technologies de l’information par l’entreprise. ISO38500
observe depuis le toit de la maison, COBIT constitue les murs.
- Eléments requis: ITIL et PRINCE2 (Projects in Controlled Environments 2) sont utiles pour
fournir des éléments du « comment? » en compléments des éléments Cobit5.
Enterprise
Risk
Management
System
Corporate governance of information technology,
Information
Security
Management
System
27001
27002
Capability Maturity Model and
Integration Best Practices Softwre
Developmente, Acquisition, Services
Enterprise
Architecture
The
Open
Group
Architecture
Framework
Project Management
and Certification
Project IN Controlled
Environments
ISO/CEI 20000
= a set of requirements
which must be met in order to
qualify for certification.
ITIL V3 has been created to
achieve better alignment with
the ISO 20000 standard, to
provide specific advice on how
to design your processes to
complement ISO 20000, to
strengthen services lifecycles
IT Departement Standard Quality
and Certification
ISO/CEI 22301
Systèmes de
management
de la continuité
d'activité
ISO International Organization for Standardization (Organisation Internationale de Normalisation (OIN))
IEC International Electrotechnical Commission (Commission Electrotechnique Internationale (CEI))
27k list
18. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Informatique - un référentiel pour agir :
2.1 Eléments de structure
Cf.
ISO CEI
15504
Achievement of Goals – Lag Indicators Application of Practice – Lead Indicators
Points clés – Facilitateur « Processus »
19. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Informatique - un référentiel pour agir :
2.1 Eléments de structure
Périmètre Cobit5
EVALUATE (SEM)
PLAN (APO)
BUILD (BAI)
RUN (LSS)
GOVERN (EDS)
EVALUATE (SEM)
20. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Informatique - un référentiel pour agir :
2.1 Eléments de structure
RACI
Accountable
(In Charge Productor)
Responsible
(Supervisor)
Concerned
Consulted
contributor
(Other Productors)
Informed
21. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2.1 Eléments de structure Cobit5
. Principes
. Facilitateurs « Principes, Politiques et Référentiels »
. Facilitateurs « Processus »
. Périmètre Cobit5
. RACI
2.2 LSS04 « Gérer la Continuité »
. Contribution de LSS04 aux objectifs liés aux TI
. LSS04 vue générale
. LSS04-03 exemple de sous-processus
. Progresser dans COBIT par niveaux de maturité
. Implémenter LSS04
2. Continuité Informatique - un référentiel proposé par l’ISACA
pour agir et donner du sens
22. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Informatique - un référentiel pour agir :
2.2 LSS04 Gérer la Continuité
Contribution de LSS04 aux Objectifs liés aux TI
23. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Informatique - un référentiel pour agir :
2.2 LSS04 Gérer la Continuité
Description du processus LSS04
- Etablir et maintenir un plan visant à permettre aux unités d’affaires et aux TI de répondre
aux incidents et aux interruptions afin de poursuivre l’exécution des processus d’affaires
critiques et des services des TI requis et afin de maintenir la disponibilité de l’information
à un niveau acceptable pour l’entreprise
Objectif général du processus LSS04
- Poursuivre les opérations critiques de l’entreprise et maintenir la disponibilité de
l’information à un niveau acceptable pour l’entreprise en cas d’interruption significative
Le processus LSS04 appuie certains objectifs liés aux TI
- 04 Gestion du risque d’affaires lié aux TI [ex d’indicateur: Nb d’incidents importants liés
aux TI qui n’ont pas été signalés dans le cadre de l’évaluation des risques]
- 07 Livraison des services de TI conformes aux exigences d’affaires [ex d’indicateur: Nb
d’interruptions des activités d’affaires attribuables à des incidents de service TI]
- 14 Disponibilité d’informations fiables et utiles pour la prise de décision [ex d’indicateur:
Nb d’incidents liés aux processus d’affaires causés par la non disponibilité de
l’information]
LSS04 Vue générale
24. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Informatique - un référentiel pour agir :
2.2 LSS04 Gérer la Continuité
Objectifs détaillés Indicateurs connexes (exemples)
1. L’information d’affaire critique est disponible
conformément au niveau minimum de service
requis
% des services TI qui répondent aux exigences
de disponibilité
% de restauration réussie en temps opportun à
partir des supports de sauvegarde ou d’autres
copies
2. Une résilience suffisante est en place pour
les services essentiels
Nb de systèmes critiques d’affaires qui ne sont
pas couverts par le plan de continuité
3. Des tests de continuité de service ont vérifié
l’efficacité du plan de continuité
Nombre d’exercices et de tests qui ont atteint
les objectifs de rétablissement
Fréquence des tests
4. Un plan de continuité à jour reflète les
exigences d’affaires actuelles
% de questions identifiées qui ont été ensuite
abordées dans le plan de continuité
5. Les intervenants internes et externes ont
été formés selon le plan de continuité
% de problèmes dentifiés qui ont été ensuite
abordés dans le plan de formation à la
continuité
LSS04 Vue générale
25. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Informatique - un référentiel pour agir :
2.2 LSS04 Gérer la Continuité
LSS04.01 Définir la politique de continuité des
affaires, ses objectifs et sa portée
LSS04.02 Maintenir une stratégie de
continuité
LSS04.03 Elaborer et mettre en œuvre
une réponse en matière de continuité
des affaires
LSS04.04 Faire l’exercice du PCA, le tester et le
passer en revue
LSS04.05 Revoir, maintenir et améliorer le
plan de continuité
LSS04.06 Dispenser une formation sur le plan
de continuité
LSS04.07 Gérer les mesures de sauvegarde
LSS04.08 Procéder à l’examen post-reprise
01. Définir la politique de
continuité des affaires et sa
portée conformément aux
objectifs de l’entreprise et
des parties prenantes
02. Evaluer les options de
gestion de la continuité
des opérations et choisir
une stratégie de
continuité rentable et
viable qui assurera la
reprise de la continuité de
l’entreprise en cas de
désastre ou d’autres
incidents ou interruptions
03. Elaborer un plan de
continuité des affaires
(PCA) basé sur la stratégie
qui documente les
procédures et
l’information en prévision
d’une utilisation lors d’un
incident pour permettre à
l’entreprise de poursuivre
ses activités essentielles
04. Tester les mesures de
continuité sur une base
régulière afin de valider
les plans de reprise par
rapport aux résultats
attendus
et pour permettre le
développement de
solutions innovantes
et pour aider à vérifier
que le plan fonctionne
comme prévu
5. Procéder à un examen
de la gestion de la
capacité de continuité à
intervalle régulier pour
garantir sa pertinence, son
adéquation et son
efficacité.
Gérer les changements au
plan en conformité avec le
processus de contrôle des
changements afin de
s’assurer que le plan de
continuité est à jour et
reflète constamment les
exigences d’affaires
réelles.
6. Fournir à toutes les
parties internes et
externes concernées des
sessions régulières de
formation concernant les
procédures, leurs rôles et
leurs responsabilités en
cas d’interruption.
7. Maintenir la
disponibilité des
informations critiques
d’affaires
(sauvegardes internes et externes,
accessibilité, chiffrement..)
8. Evaluer la pertinence du
PCA suivant la reprise
réussie des processus et
des services d’affaires après
une interruption
LSS04 Vue générale
26. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Informatique - un référentiel pour agir :
2.2 LSS04 Gérer la Continuité
LSS04-03 Exemple de sous-processus
Intrants
APO09.03 Accord de
niveau opérationnel
LSS04.03 Elaborer et mettre en œuvre
une réponse en matière de continuité
des affaires
Activité 1: Définir les actions de réponse aux incidents
et les communications à effectuer en cas
d’interruption. Définir les rôles et responsabilités
connexes, incluant la responsabilité pour la politique
et la mise en œuvre.
Activité 2: Développer et maintenir des PCA
opérationnels contenant les procédures à suivre pour
permettre l’exploitation continue des processus
critiques de l’entreprise ou pour permettre
l’exploitation continue des processus critiques de
l’entreprise ou pour permettre l’utilisation
d’arrangements temporaires, incluant des liens vers
des plans de fournisseurs de services externes.
Activité 3: Veiller à ce que les principaux fournisseurs
et partenaires d’impartition aient mis en place des
plans de continuité efficaces. Recueillir des preuves
vérifiées, au besoin.
Extrants
LSS02.01 Actions et
communications pour
répondre aux incidents
Interne LSS04: Les plans de
continuité des affaires
27. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Informatique - un référentiel pour agir :
2.2 LSS04 Gérer la Continuité
LSS04-03 (Suite)
Intrants
APO09.03 Accord de
niveau opérationnel
LSS04.03 Elaborer et mettre en œuvre
une réponse en matière de continuité
des affaires
Activité 4: Définir les conditions et les procédures de
recouvrement qui permettraient la reprise des
affaires, incluant la mise à jour et la conciliation des
bases de données pour préserver l’intégrité de
l’information.
Activité 5: Définir et documenter les ressources
requises pour appuyer les procédures de continuité et
de reprise, en tenant compte des personnes, des
installations et des infrastructures des TI.
Activité 6: Définir et documenter les exigences de
sauvegarde de l’information nécessaires pour appuyer
les plans, incluant les plans et les documents papier
ainsi que les fichiers de données, et considérer le
besoin pour la sécurité et pour un stockage hors site
Extrants
LSS02.01 Actions et
communications pour
répondre aux incidents
Interne LSS04: Les plans de
continuité des affaires
28. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Informatique - un référentiel pour agir :
2.2 LSS04 Gérer la Continuité
LSS04-03 (suite)
Intrants
APO09.03 Accord de
niveau opérationnel
LSS04.03 Elaborer et mettre en œuvre
une réponse en matière de continuité
des affaires
Activité 7: Déterminer les compétences nécessaires
pour les personnes impliquées dans l’exécution du
plan et des procédures.
Activité 8: Distribuer les plans et les documents de
soutien de façon sécuritaire aux parties intéressées
dûment autorisées et s’assurer qu’ils sont accessibles
dans tous les scénarios de désastre.
Extrants
LSS02.01 Actions et
communications pour
répondre aux incidents
Interne LSS04: Les plans de
continuité des affaires
29. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Informatique - un référentiel pour agir :
2.1 Eléments de structure
Progresser dans COBIT par Niveaux de Maturité
Attribut(s)
Résultats du
processus
Pratiques de
base
Produits du
travail (Intrants
/ Extrants)
INDICATEURS DE
PERFORMANCE INDICATEURS DE CAPACITE
Pratiques
génériques
Ressources
génériques
Résultats
génériques de
l’activité
0. Processus
incomplet
Aucun
Fonction non
atteinte ou
pas vérifiable
1. Processus
exécuté
AP 1.1 Performance
du Processus
Fonction réalisée
Processus
répétable mais
intuitif ou ponctuel
2. Processus
géré
AP 2.1 Gestion de
la performance
AP 2.2 Gestion des
résultats de
l’activité
Processus planifié,
surveillé et ajusté
(buts, objectifs,
responsable de
processus, RACI)
Résultats établis,
contrôlés, maintenus
3. Processus
établi
AP 3.1 Définition du
processus
AP 3.2 Déploiement
du processus
Mis en œuvre selon
une procédure
définie permettant
d’atteindre les
résultats souhaités
4. Processus
prévisible
AP 4.1 Gestion du
processus
AP 2.2 Contrôle du
processus
Fonctionnement
selon des limites qui
assurent l’atteinte
des résultats
souhaités
5. Processus
en
optimisation
AP 5.1 Innovation
du processus
AP 5.2 Optimisation
du processus
Amélioré
continuellement
pour atteindre des
objectifs d’affaires
pertinents actuels
et projetés
Contrôle
Investissement
faible
Investissement
fort
Modèles de Maturité : Cobit5 = compatible ISO/IEC 15504 - Processus Génie Logiciel =
SPICE Software Process Improvement and Capability dEtermination (différent de CMMI
Capability Maturity Model Integration)
30. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
1. Quels sont les inducteurs (drivers) qui donne au management le désir de changer ?
• Reconnaitre les points qui font mal et les évènements déclencheurs
• Internes, externes, techniques, psychologiques, recommandations d’audit…
• Causes sources (ex: « les métiers ne participent pas ») et facteurs clés de succès à
développer (ex: « intégrer des représentants des métiers dans l’évaluation de la
situation actuelle »; « sensibiliser aux risques de non partciipation »)
2. Où en sommes-nous aujourd’hui?
• Qualité du support des métiers à la continuité IT
• Un coût d’amélioration ressenti comme supérieur aux bénéfices perçus
• Niveau de confiance limité entre l’IT et les métiers pour assurer un service continu
3. Où souhaiterions-nous être?
• Faire comprendre l’environnement de continuité et faire évoluer les comportements
• Savoir utiliser Cobit5 et ainsi faire percevoir simplement la complexité de la continuité
• Diminuer fortement la résistance au changement des informaticiens et des utilisateurs
4. Qu’est-il nécessaire de faire pour y parvenir?
• Implication dans l’implémentation, pas-à-pas concrètement…
5. Comment parvenir à cette situation cible?
• Démarrer simplement, se former et se faire aider pour piloter (MOA Cobit5)
6. Sommes-nous effectivement arrivés en situation cible?
• Parvenons-nous à montrer clairement les bénéfices pour le management? Pour la
gouvernance?
7. Comment conservons-nous la dynamique actuelle sur ce sujet?
• Ne pas perdre la motivation, dynamiser la montée en qualité du niveau de contrôle
interne, valoriser les acteurs
2. Continuité Informatique - un référentiel pour agir :
2.2 LSS04 Gérer la Continuité
Implémenter LSS04
31. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
2. Continuité Informatique - un référentiel pour agir :
A présent ou en fin de présentation…
Jean-Yves OBERLE
jyoberle@sarapis.fr
Frederic VILANOVA
frederic.vilanova@effectiveyellow.com
Isabelle SALESSE LAVERGNE
isalesselavergne@hopital-saint-joseph.fr
32. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
3.1 Aspects Business
. AAAA
3.2 Gouvernance
. BBBBBBBBBBB
3. Continuité: Aspects Business et Gouvernance
Continuité: Aspects Business et
Gouvernance – M. Jean-Yves Oberlé
33. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
3.1 Aspects Business
. AAAA
3.2 Gouvernance
. BBBBBBBBBBB
3. Continuité: Aspects Business et Gouvernance
Continuité: Aspects Business et
Gouvernance – M. Jean-Yves Oberlé
34. MANAGER LA CONTINUITE: ASPECTS BUSINESS ET IMPERATIFS INFORMATIQUES 11 mars 2015 – ESDAC Aix-en-Provence
Jean-Yves OBERLE
jyoberle@sarapis.fr
Frederic VILANOVA
frederic.vilanova@effectiveyellow.com
Isabelle SALESSE LAVERGNE
isalesselavergne@hopital-saint-joseph.fr
3. Continuité: Aspects Business et Gouvernance